ホーム > 特許ランキング > シーランス コーポレイション
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-02-19
(54)【発明の名称】識別情報伝達システム
(51)【国際特許分類】
H04L 9/32 20060101AFI20240209BHJP
【FI】
H04L9/32 200C
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023551153
(86)(22)【出願日】2022-02-23
(85)【翻訳文提出日】2023-10-18
(86)【国際出願番号】 US2022017445
(87)【国際公開番号】W WO2022182706
(87)【国際公開日】2022-09-01
(31)【優先権主張番号】63/152,655
(32)【優先日】2021-02-23
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】523279833
【氏名又は名称】シーランス コーポレイション
(74)【代理人】
【識別番号】100092783
【弁理士】
【氏名又は名称】小林 浩
(74)【代理人】
【識別番号】100120134
【弁理士】
【氏名又は名称】大森 規雄
(74)【代理人】
【識別番号】100221327
【弁理士】
【氏名又は名称】大川 亮
(72)【発明者】
【氏名】アズガド-トロマー,シュロミット
(72)【発明者】
【氏名】グリーン,マシュー ディー.
(72)【発明者】
【氏名】トロマー,エラン
(57)【要約】
識別情報アサーションを金融サービスプロバイダに発行することによって、このサービスプロバイダへの顧客の識別情報の検証を容易にするように構成されたシステムが提供される。このシステムは、顧客情報を格納すること、および顧客の識別情報を検証すること、ならびにサービスプロバイダからの要求に基づいて情報の少なくとも一部を主張する識別情報アサーションを生成することを行うように構成された識別情報プロバイダと、顧客に関連付けられた顧客識別情報マネージャとを備える。このシステムは、サービスプロバイダへのアサーションにおいて顧客レコード内のどの情報がどの形態で提供されるべきかを選択的に決定するために、顧客レコードおよびポリシーに対して推論するように構成された識別情報要約エンジンをさらに備える。
【特許請求の範囲】
【請求項1】
識別情報アサーションを金融サービスプロバイダに発行することによって、前記サービスプロバイダへの顧客の識別情報の検証を容易にするように構成されたシステムであって、顧客情報を格納すること、および前記顧客の識別情報を検証すること、ならびに前記サービスプロバイダからの要求に基づいて前記情報の少なくとも一部を主張する前記識別情報アサーションを生成することを行うように構成された識別情報プロバイダであって、前記アサーションが暗号化された部分を含む、識別情報プロバイダと、
前記顧客に関連付けられた顧客識別情報マネージャであって、前記アサーションを前記サービスプロバイダに提供することを容易にするために前記サービスプロバイダおよび前記識別情報プロバイダと通信するように構成された顧客識別情報マネージャとを備え、
前記システムが、前記サービスプロバイダへの前記アサーションにおいて顧客レコード内のどの情報がどの形態で提供されるべきかを選択的に決定するために、前記顧客レコードおよびポリシーに対して推論するように構成された識別情報要約エンジンをさらに備える、システム。
【請求項2】
前記識別情報要約エンジンが、サービスプロバイダからの識別情報要求の共通の形式、および前記サービスプロバイダに発行される前記アサーションの共通の形式を定義する要求言語を定義する、請求項1に記載のシステム。
【請求項3】
前記識別情報要約エンジンが、前記顧客レコードからの前記情報の少なくとも一部が一般化された形態で前記アサーションに含まれるということを決定するように構成される、請求項1に記載のシステム。
【請求項4】
前記識別情報要約エンジンが、前記顧客レコードからの前記情報の少なくとも一部が、前記顧客レコードからの他の情報と結合された形態で前記アサーションに含まれるということを決定するように構成される、請求項1に記載のシステム。
【請求項5】
前記識別情報要約エンジンが、前記サービスプロバイダの前記識別情報に基づいて、前記顧客レコードからの前記情報の少なくとも一部が保留されるということを決定するように構成される、請求項1に記載のシステム。
【請求項6】
前記識別情報要約エンジンが前記識別情報プロバイダによって実施される、請求項1に記載のシステム。
【請求項7】
前記識別情報プロバイダが、前記アサーションを前記サービスプロバイダに直接発行するように構成される、請求項1に記載のシステム。
【請求項8】
前記顧客識別情報マネージャが、サービスプロバイダから要求を受信して識別情報アサーションを提供し、1つまたは複数の識別情報プロバイダを識別する前記情報を前記サービスプロバイダに提供するように構成され、前記識別情報プロバイダから、適切な識別情報アサーションが取得されてよい、請求項7に記載のシステム。
【請求項9】
前記1つまたは複数の識別情報プロバイダを識別する前記情報が、前記1つまたは複数の識別情報プロバイダを識別するゼロ知識証明を含む、請求項8に記載のシステム。
【請求項10】
前記顧客識別情報マネージャが、前記識別情報プロバイダによって発行された前記アサーションを前記サービスプロバイダに提供するように構成される、請求項1に記載のシステム。
【請求項11】
前記顧客識別情報マネージャが、前記顧客によって使用できる追加情報を前記サービスプロバイダに提供するようにさらに構成される、請求項10に記載のシステム。
【請求項12】
前記顧客識別情報マネージャが、ゼロ知識証明を使用して要約された前記追加情報を提供するように構成される、請求項11に記載のシステム。
【請求項13】
前記識別情報要約エンジンが前記顧客識別情報マネージャによって実施される、請求項1に記載のシステム。
【請求項14】
複数の協力する識別情報プロバイダを備え、複数の前記協力する識別情報プロバイダがそれぞれ、前記サービスプロバイダによって必要とされる情報の少なくとも一部の構成要素アサーションを発行し、それによって、前記構成要素アサーションの集約されたアサーションを提供するのを容易にする、請求項1に記載のシステム。
【請求項15】
前記構成要素アサーションの少なくとも一部が、他の前記構成要素アサーションにおいて主張されない情報のアサーションを含む、請求項14に記載のシステム。
【請求項16】
前記構成要素アサーションの少なくとも一部が、他の前記構成要素アサーションにおいて主張される情報のアサーションを含む、請求項14に記載のシステム。
【請求項17】
前記識別情報プロバイダが、ユーザに関する情報を前記サービスプロバイダから受信し、前記情報を考慮して前記アサーションを更新するように構成される、請求項1に記載のシステム。
【請求項18】
更新が、前記アサーションにおける前記情報の少なくとも一部を取り消すことを含む、請求項17に記載のシステム。
【請求項19】
前記識別情報プロバイダが、更新されたアサーションが使用可能であるというメッセージを前記サービスプロバイダに公開するように構成される、請求項17に記載のシステム。
【請求項20】
前記アサーションが、前記サービスプロバイダが前記顧客に関する情報を外部システムに報告するのを容易にするように構成された情報を報告することを含む、請求項1に記載のシステム。
【請求項21】
情報を前記報告することが、1つまたは複数の認証トークンおよび/または前記情報を報告するための1つまたは複数の位置を識別する情報を含む、請求項20に記載のシステム。
【請求項22】
前記アサーションが有効期限を含む、請求項1に記載のシステム。
【請求項23】
前記顧客情報が非識別情報データを含む、請求項1に記載のシステム。
【請求項24】
前記顧客識別情報マネージャが、前記顧客に関連付けられたデジタルウォレットと統合される、請求項1に記載のシステム。
【請求項25】
前記アサーションの前記暗号化された部分がゼロ知識証明を実装する、請求項1に記載のシステム。
【請求項26】
前記アサーションが暗号化されていない部分を含む、請求項1に記載のシステム。
【請求項27】
前記暗号化された部分が、前記暗号化されていない部分の少なくとも一部に対して計算された暗号認証データを含む、請求項26に記載のシステム。【発明の詳細な説明】
【技術分野】
【0001】
本明細書において開示されている主題は、デジタルアセットシステムに関し、詳細には、そのようなシステムを使用している顧客の識別に関する。
【背景技術】
【0002】
ノーユアカスタマー(KYC:Know Your Customer)規制への適合性は、暗号通貨交換などの仮想アセットサービスプロバイダ(VASP:Virtual Asset Service Providers)、金融機関、分散型金融アプリケーション、ならびにデジタル通貨およびアセットの空間における他のサービスプロバイダ(「プロバイダ」)に大きな技術的課題をもたらす。多くの規制制度では、各プロバイダが、金融トランザクションを実行するすべての顧客の識別情報の妥当性を確認しなければならない。この識別情報は、特定の検証手順をそれぞれ伴う、複数の異なる形態のデータを含むことがある。例えば、米国におけるKYC規制は、VASPが顧客の名前および住所の情報を取得すること、ならびに個人の識別情報文書および写真を検証することを要求する。収入、純資産、または資金源などの、さまざまな追加情報が取得されて検証されることがある。規制は、プロバイダがこの識別情報を、評判スコアおよび不正である可能性がある活動の記録などの、顧客に関して後で開発され得る追加情報に関連付けることを要求することもある。さらに、規制およびビジネスニーズは、両方とも、プロバイダが顧客に関する情報を規制機関および他のプロバイダと交換することを要求することがある。
【0003】
既存の技術の手法は、この規制適合性を困難にする。第一に、現在の制度では、個々のプロバイダが、KYC文書を検証するためのデジタルインフラストラクチャおよび人的インフラストラクチャを作成しなければならず、その後、ローカルなデータセキュリティ規格に従って、結果として得られた機密データを安全に記録し、格納しなければならない。このプロセスを「社内で」管理する必要性は、プロバイダにコストを課し、新しい顧客を獲得するプロセスにオーバーヘッドおよび遅延をもたらす。第二に、識別情報文書を検証するために異なるプロバイダによって使用される規格が異なることがあり、これが、一貫性のない品質の識別情報をもたらす。第三に、複数のプロバイダが単一の顧客と情報をやりとりする場合、プロバイダは、その顧客の活動に関する情報を他のプロバイダと交換するために、顧客を一意に識別する必要があることがあり、これを実行するのは、プロバイダが顧客識別情報を記録するためにそれぞれ異なる規格を使用する場合、困難である(例えば、名前によって顧客の口座を照合することは、間違った識別情報または識別情報の盗難の事例につながる可能性がある)。最後に、規制への適合性は、プロバイダが個別の顧客に関する大量の機密情報を格納すること、ならびに/または機密および秘密の顧客情報を他のプロバイダと共有することを要求することがある。各プロバイダによって顧客の大量の機密識別情報を格納する必要性は、データ漏洩のリスクに起因して、顧客を損害の危険にさらし、プロバイダを民事責任および刑事責任の危険にさらす。
【発明の概要】
【0004】
一部の態様によれば、仲介なしで顧客、企業、法執行機関、規制機関、仮想アセットサービスプロバイダ、金融機関、および他の関係者の間での金融、法律、および/またはビジネスに関する情報の電子送信を容易にするための電子金融プラットフォームが提供されている。この情報は、特に、トランザクション、識別情報検証、および他の報告を含んでよい。識別情報検証の要求およびステータスを含んでいる情報は、完全に暗号化された方法で、ネットワーク内で安全に共有され得る。さらに、このプラットフォームは、情報を見ることが許可された関係者のみが情報を見ることができるということを保証することができる。
【0005】
一部の態様によれば、1つまたは複数の識別情報プロバイダが顧客識別情報を受信すること、検証すること、および記録すること、ならびにサービスプロバイダが機密の顧客情報を格納する必要性を最小限に抑える方法で、この情報の一部をサービスプロバイダと共有することを容易にするように構成されたシステムが提供されている。さらに、顧客の識別情報および/または偽名の特定の部分の選択されたプロバイダへの配布の、顧客の許可および制御を容易にするシステムが提供される。このシステムは、例えば、サービスプロバイダが識別情報プロバイダと直接通信せずに、サービスプロバイダが信頼性を検証することを可能にする方法で、識別情報プロバイダからのこの情報の配布を可能にするようにさらに構成されてよい。この構成は、顧客に暗号識別情報証明書および/または識別情報アサーションを提供することによって可能にされてよい(本開示および添付の特許請求の範囲では、特に文脈から明確でない限り、用語「証明書」および「アサーション」ならびに関連する用語が、交換可能なように使用される)。
【0006】
このシステムは、サービスプロバイダによって、必要とされる識別情報に関する要件を定義し、識別情報プロバイダがこれらの要件を満たすことと、識別情報プロバイダによる特定の顧客情報の保持を要求することとを容易にするように、さらに構成されてよい。システムは、サービスプロバイダが顧客識別子を比較することと、特定の顧客に関する情報を、この情報が顧客の識別情報に結び付けられるように、識別情報プロバイダおよび他のサービスプロバイダと共有することとをさらに可能にしてよい。
【0007】
一部の実施例によれば、システムは、顧客の識別情報に関する情報が集中型識別情報プロバイダに格納される、集中型の構成で動作するように構成されてよい。サービスプロバイダは、顧客識別情報に関するアサーションを取得するため、および顧客の挙動に関する更新された情報を返送するために、安全な認証されたネットワーク通信チャネルを使用して、集中型識別情報プロバイダと直接情報をやりとりする。
【0008】
一部の実施例によれば、システムは、顧客の識別情報に関する情報が暗号によって認証され形態で顧客に提供され、サービスプロバイダが顧客からこの情報のサブセットを受信する、分散型の構成で動作するように構成されてよい。サービスプロバイダからの更新情報は、(他のサービスプロバイダへの配布のための)顧客を含む、識別情報プロバイダでの位置、および/またはブロックチェーンなどの合意ネットワークの台帳上の位置を含むさまざまな位置に格納されてよい。
【0009】
一部の実施例によれば、システムは、集中型の構成および分散型の構成の各々の特徴の組み合わせに従って動作するように構成されてよい。
【0010】
本明細書において開示されている主題の一部の態様によれば、識別情報アサーションを金融サービスプロバイダに発行することによって、このサービスプロバイダへの顧客の識別情報の検証を容易にするように構成されたシステムが提供されており、このシステムは、
顧客情報を格納すること、および顧客の識別情報を検証すること、ならびにサービスプロバイダからの要求に基づいて情報の少なくとも一部を主張する識別情報アサーションを生成することを行うように構成された識別情報プロバイダであって、このアサーションが暗号化された部分を含む、識別情報プロバイダと、
顧客に関連付けられた顧客識別情報マネージャであって、アサーションをサービスプロバイダに提供するのを容易にするためにサービスプロバイダおよび識別情報プロバイダと通信するように構成された顧客識別情報マネージャとを備え、
このシステムは、サービスプロバイダへのアサーションにおいて顧客レコード内のどの情報がどの形態で提供されるべきかを選択的に決定するために、顧客レコードおよびポリシーに対して推論するように構成された識別情報要約エンジンをさらに備える。
顧客情報を格納すること、および顧客の識別情報を検証すること、ならびにサービスプロバイダからの要求に基づいて情報の少なくとも一部を主張する識別情報アサーションを生成することを行うように構成された識別情報プロバイダであって、このアサーションが暗号化された部分を含む、識別情報プロバイダと、
顧客に関連付けられた顧客識別情報マネージャであって、アサーションをサービスプロバイダに提供するのを容易にするためにサービスプロバイダおよび識別情報プロバイダと通信するように構成された顧客識別情報マネージャとを備え、
このシステムは、サービスプロバイダへのアサーションにおいて顧客レコード内のどの情報がどの形態で提供されるべきかを選択的に決定するために、顧客レコードおよびポリシーに対して推論するように構成された識別情報要約エンジンをさらに備える。
【0011】
このシステムは、以下の実施形態のうちの任意の1つまたは複数に従って提供されてよい(特に文脈から明確でない限り、各実施形態の例は非限定的であり、すなわち、各実施形態の例のすべての組み合わせが、本開示の一部を構成する)。
【0012】
実施形態1:識別情報要約エンジンは、サービスプロバイダからの識別情報要求の共通の形式、およびサービスプロバイダに発行されるアサーションの共通の形式を定義する要求言語を定義してよい。
【0013】
実施形態2:識別情報要約エンジンは、顧客レコードからの情報の少なくとも一部が一般化された形態でアサーションに含まれるということを決定するように構成されてよい。一部の非限定的な例によれば、この実施形態は、上記の実施形態1をさらに含む。
【0014】
実施形態3:識別情報要約エンジンは、顧客レコードからの情報の少なくとも一部が、顧客レコードからの他の情報と結合された形態でアサーションに含まれるということを決定するように構成されてよい。一部の非限定的な例によれば、この実施形態は、上記の実施形態のいずれかをさらに含む。
【0015】
実施形態4:識別情報要約エンジンは、サービスプロバイダの識別情報に基づいて、顧客レコードからの情報の少なくとも一部が保留されるということを決定するように構成されてよい。一部の非限定的な例によれば、この実施形態は、上記の実施形態のいずれかをさらに含む。
【0016】
実施形態5:識別情報要約エンジンは、識別情報プロバイダによって実施されてよい。一部の非限定的な例によれば、この実施形態は、上記の実施形態のいずれかをさらに含む。
【0017】
実施形態6:識別情報プロバイダは、アサーションをサービスプロバイダに直接発行するように構成されてよい。
【0018】
実施形態6の非限定的な例によれば、顧客識別情報マネージャは、サービスプロバイダから要求を受信して識別情報アサーションを提供し、1つまたは複数の識別情報プロバイダを識別する情報をサービスプロバイダに提供するように構成されてよく、これらの識別情報プロバイダから、適切な識別情報アサーションが取得されてよい。1つまたは複数の識別情報プロバイダを識別する情報は、1つまたは複数の識別情報プロバイダを識別するゼロ知識証明を含んでよい。
【0019】
一部の非限定的な例によれば、実施形態6は、上記の実施形態のいずれかをさらに含む。
【0020】
実施形態7:顧客識別情報マネージャは、識別情報プロバイダによって発行されたアサーションをサービスプロバイダに提供するように構成されてよい。
【0021】
実施形態7の非限定的な例によれば、顧客識別情報マネージャは、顧客によって使用できる追加情報をサービスプロバイダに提供するようにさらに構成されてよい。顧客識別情報マネージャは、ゼロ知識証明を使用して要約された追加情報を提供するように構成されてよい。
【0022】
一部の非限定的な例によれば、実施形態7は、上記の実施形態のいずれかをさらに含む。
【0023】
実施形態8:識別情報要約エンジンは、顧客識別情報マネージャによって実施されてよい。一部の非限定的な例によれば、実施形態8は、上記の実施形態のいずれかをさらに含む。
【0024】
実施形態9:このシステムは、複数の協力する識別情報プロバイダを備えてよく、複数の協力する識別情報プロバイダはそれぞれ、サービスプロバイダによって必要とされる情報の少なくとも一部の構成要素アサーション(component assertion)を発行し、それによって、構成要素アサーションの集約されたアサーションを提供するのを容易にする。
【0025】
実施形態9の非限定的な例によれば、構成要素アサーションの少なくとも一部は、他の構成要素アサーションにおいて主張されない情報のアサーションを含んでよい。
【0026】
実施形態9の非限定的な例によれば、構成要素アサーションの少なくとも一部は、他の構成要素アサーションにおいて主張される情報のアサーションを含む。
【0027】
一部の非限定的な例によれば、実施形態9は、上記の実施形態のいずれかをさらに含む。
【0028】
実施形態10:識別情報プロバイダは、ユーザに関する情報をサービスプロバイダから受信し、この情報を考慮してアサーションを更新するように構成されてよい。
【0029】
実施形態10の非限定的な例によれば、この更新は、アサーションにおける情報の少なくとも一部を取り消すことを含んでよい。
【0030】
実施形態10の非限定的な例によれば、識別情報プロバイダは、更新されたアサーションが使用可能であるというメッセージをサービスプロバイダに公開するように構成される。
【0031】
一部の非限定的な例によれば、実施形態10は、上記の実施形態のいずれかをさらに含む。
【0032】
実施形態11:アサーションは、サービスプロバイダが顧客に関する情報を外部システムに報告するのを容易にするように構成された情報を報告することを含んでよい。
【0033】
実施形態11の非限定的な例によれば、情報を報告することは、1つまたは複数の認証トークンおよび/または情報を報告するための1つまたは複数の位置を識別する情報を含んでよい。
【0034】
一部の非限定的な例によれば、実施形態11は、上記の実施形態のいずれかをさらに含む。
【0035】
実施形態12:アサーションは、有効期限を含んでよい。一部の非限定的な例によれば、実施形態12は、上記の実施形態のいずれかをさらに含む。
【0036】
実施形態13:顧客情報は、非識別情報データを含む。一部の非限定的な例によれば、実施形態13は、上記の実施形態のいずれかをさらに含む。
【0037】
実施形態14:顧客識別情報マネージャは、顧客に関連付けられたデジタルウォレットと統合されてよい。一部の非限定的な例によれば、実施形態14は、上記の実施形態のいずれかをさらに含む。
【0038】
実施形態15:アサーションの暗号化された部分は、ゼロ知識証明を実装してよい。一部の非限定的な例によれば、実施形態15は、上記の実施形態のいずれかをさらに含む。
【0039】
実施形態16:アサーションは、暗号化されていない部分を含んでよい。
【0040】
実施形態16の非限定的な例によれば、暗号化された部分は、暗号化されていない部分の少なくとも一部に対して計算された暗号認証データを含んでよい。
【0041】
一部の非限定的な例によれば、実施形態16は、上記の実施形態のいずれかをさらに含む。
【0042】
したがって、本明細書において開示されている主題に従うシステムは、プロバイダが、高価な時間のかかる重複する作業を実行することなく新しい顧客を簡単に取り込むことができるように、プロバイダが、例えばKYC識別情報検証を実行するタスクを専用の第三者に外部委託することを可能にしてよい。さらに、このシステムは、プロバイダが、顧客を誤認する危険を冒さずに単一の顧客に関する情報を交換することができるように、複数のプロバイダにわたって使用され得るデジタル識別情報を顧客に提供する。悪用を防ぐために、このシステムは、顧客および規制機関の制御の下での情報および識別情報の選択的な交換を容易にすることができる。さらに、情報セキュリティを保証するために、このシステムは、プロバイダが規制に従うことを妨げずに、プロバイダへの重要な情報の配布を最小限に抑えることを可能にしてよい。
【0043】
本明細書において開示されている主題をよりよく理解するため、および本主題を実際に実行する方法を例示するために、非限定的な単なる例として添付の図面を参照して、ここで実施形態が説明される。
【図面の簡単な説明】
【0044】
【図1】サービスプロバイダへの顧客識別情報の検証を容易にするための、本明細書において開示されている主題に従うシステムを示す図である。
【発明を実施するための形態】
【0045】
システム構成要素
本明細書において開示されている主題によれば、1つまたは複数の識別情報プロバイダが顧客識別情報を受信すること、検証すること、および記録すること、ならびにサービスプロバイダが機密の顧客情報を格納する必要性が最小限に抑えられるように、この情報の少なくとも一部をサービスプロバイダと共有することを容易にするように構成されたシステムが提供されている。
本明細書において開示されている主題によれば、1つまたは複数の識別情報プロバイダが顧客識別情報を受信すること、検証すること、および記録すること、ならびにサービスプロバイダが機密の顧客情報を格納する必要性が最小限に抑えられるように、この情報の少なくとも一部をサービスプロバイダと共有することを容易にするように構成されたシステムが提供されている。
【0046】
このシステムは、例えば、2022年1月25日に出願されたPCT/US2022/13601に記載されているような、デジタルアセットネットワーク上のトランザクションを管理するように構成された適合性システムと共に、または適合性システムの一部として、動作するように構成されてよく、この出願の完全な内容は、参照によって本明細書に組み込まれている。本明細書において開示されている主題のシステムは、そのような適合性システムの識別情報伝達システムを構成してよい。
【0047】
このシステムは、顧客の識別情報に関するアサーションを作成するように構成されてよく、顧客は、1つまたは複数のデジタルアセットを所有および/または制御する。図1に示されているように、このシステムは、例えば、コンピュータネットワークを経由して互いに通信するように構成された、識別情報プロバイダ、サービスプロバイダを備えており、1つまたは複数の顧客識別情報マネージャをさらに備えてよい。
【0048】
識別情報プロバイダ(IP)は、政府発行の識別情報文書などの顧客識別認証情報を検証することと、各顧客に関する情報を安全に記録することとを実行するように構成される。IPは、「識別情報アサーション」をサービスプロバイダに発行するようにさらに構成されてよい。そのような識別情報アサーションは、デジタル証明書の形態であってよく、サービスプロバイダ自体が検証できるような方法で、顧客に関する識別情報、またはIPでの識別情報の存在についてサービスプロバイダに知らせるように構成される。
【0049】
サービスプロバイダ(SP:service provider)は、1つまたは複数の金融サービスを顧客に提供するように構成される。SPの例は、集中型金融(CeFi:centralized finance)交換、仮想アセットサービスプロバイダ(VASP)、銀行、支払い処理業者、クレジットカード発行者、および送金サービスを含んでよいが、これらに限定されない。SPは、特定の顧客とのトランザクションを実行するために、識別情報の検証を必要とすることがあり、信頼できる識別情報プロバイダから識別情報アサーションを受信するように構成されてよい。SPは、1つまたは複数のSPと情報をやりとりして顧客に関する情報を交換すること、および/または異なるSPが同じ顧客と情報をやりとりしていることを検証することを実行するように構成されてよい。
【0050】
一部の例によれば、サービスプロバイダは、分散型金融(DeFi:decentralized finance)手段を提供する。例えば、SPは、パブリックな台帳で使用可能な「スマートコントラクト」を備えてよい。したがって、例えば、本明細書において開示されている主題のシステムを実施し、したがって、ユーザの識別情報を検証できるということを示すことができるDeFi手段は、顧客によって使用されるために、集中型金融手段によって信用され得る。
【0051】
顧客識別情報マネージャ(CIM:Customer Identity Manager)は、顧客がサービスプロバイダおよび識別情報プロバイダとインターフェイスをとることを可能にするように構成される。CIMのインスタンスは、暗号通貨などのデジタルアセットを制御および格納するように構成された顧客の「ウォレット」の下位構成要素として統合されてよい。CIMは、コンピュータネットワークと通信し、それによって、IPシステムおよびSPシステムにメッセージを送信することおよび/またはIPシステムおよびSPシステムからメッセージを受信することを可能にする。CIMソフトウェアまたはハードウェアは、顧客によって直接制御されてよく、かつ/または顧客の代わりにサービスプロバイダによって操作されてよい。一部の実施例によれば、CIMは、例えば、インターネットに汎用コンピュータを接続することによって断続的にのみインターネットに接続される、専用デバイス上に実装されたウォレット(いわゆる「ハードウェアウォレット」)と統合される。一部の実施例によれば、CIMは、ソフトウェアに基づく、すなわち、インターネットに継続的に接続される汎用コンピュータにインストールされたソフトウェアに実装された、ウォレットと統合される。一部の実施例によれば、CIMは、ハードウェアウォレットと部分的に統合され、ソフトウェアに基づくウォレットと部分的に統合される。
【0052】
所与のシステムには、これらの構成要素の各々の複数のインスタンスが存在してよく、これらの構成要素は、互いの間で情報を交換するために、コンピュータネットワークを介して通信可能に結合される。
【0053】
IP、SP、およびCIMという用語が、機能の所与のセットを説明しており、したがって関係者が、IP、SP、および/またはCIMとして同時に機能してよいということが、理解されるであろう。例えば、1つまたは複数の金融サービスを顧客に提供すること、および顧客識別認証情報を検証することの両方を実行するように構成された実体は、識別情報アサーションをサービスプロバイダに発行するように機能している場合、識別情報プロバイダとして本明細書において説明されてよい。したがって、識別情報プロバイダは、図1では、別のサービスプロバイダ(IPと情報をやりとりするSPと区別するために、括弧内に示されている)の一部を構成しているように示されている。
【0054】
システムの動作
動作中に、システムは、1つまたは複数の機能を実行し、それらの機能の非限定的リストは、次のとおりである。
動作中に、システムは、1つまたは複数の機能を実行し、それらの機能の非限定的リストは、次のとおりである。
【0055】
識別情報の検証
システムにおいて識別情報を確立するために、顧客が識別情報プロバイダと通信し、IPによって検証される識別情報文書を伝達する。この文書の検証は、例えば、物理的位置にいる人において、コンピュータネットワークを介して電子的に、かつ/または任意の他の適切な方法もしくはこれらの組み合わせで、実行されてよい。そのようなプロセスの1つの例は、政府発行の識別情報の写真、顧客にアドレス指定された1つまたは複数の請求書などをWebサイトにアップロードすることを含んでよいが、これに限定されない。識別情報の検証は、政府機関との直接的なデジタル通信、および/または「スマートカード」に含まれているデジタル識別情報文書の使用などの、デジタル式の手順を含んでよい。
システムにおいて識別情報を確立するために、顧客が識別情報プロバイダと通信し、IPによって検証される識別情報文書を伝達する。この文書の検証は、例えば、物理的位置にいる人において、コンピュータネットワークを介して電子的に、かつ/または任意の他の適切な方法もしくはこれらの組み合わせで、実行されてよい。そのようなプロセスの1つの例は、政府発行の識別情報の写真、顧客にアドレス指定された1つまたは複数の請求書などをWebサイトにアップロードすることを含んでよいが、これに限定されない。識別情報の検証は、政府機関との直接的なデジタル通信、および/または「スマートカード」に含まれているデジタル識別情報文書の使用などの、デジタル式の手順を含んでよい。
【0056】
識別情報プロバイダが顧客の識別情報を検証した後に、識別情報プロバイダは、デジタル識別認証情報を生成して、顧客に発行してよい。デジタル識別認証情報は、顧客の識別情報に関する構造化された情報に加えて、識別情報プロバイダによって生成された暗号鍵を使用してこの情報に対して計算されたデジタル署名などの暗号認証データを含む、デジタルファイルである。一部の実施例によれば、IPは識別情報をローカルに格納してよい。
【0057】
サービスの登録
顧客が新しいサービスプロバイダ(例えば、顧客がこれまで登録したことがなく、したがって、現在顧客の識別情報を検証することができないSP)に登録することを望む場合、顧客は、Webサイトに対して、またはモバイルアプリを介して行われるHTTP(S)要求などのネットワーク接続を介して、サービスプロバイダに連絡する。顧客は、例えば、識別情報に関する情報を指定することによって、顧客が以前にどの識別情報プロバイダに登録したかを示してよい。この情報は、顧客によって保持されている識別情報証明書内に格納された情報のサブセットに加えて、識別情報証明書から導出された暗号情報を含んでよい。代替として、顧客は、場合によっては顧客のコンピュータによって仲介されて、識別情報プロバイダとサービスプロバイダの間の直接通信を開始するのを容易にしてよい。
顧客が新しいサービスプロバイダ(例えば、顧客がこれまで登録したことがなく、したがって、現在顧客の識別情報を検証することができないSP)に登録することを望む場合、顧客は、Webサイトに対して、またはモバイルアプリを介して行われるHTTP(S)要求などのネットワーク接続を介して、サービスプロバイダに連絡する。顧客は、例えば、識別情報に関する情報を指定することによって、顧客が以前にどの識別情報プロバイダに登録したかを示してよい。この情報は、顧客によって保持されている識別情報証明書内に格納された情報のサブセットに加えて、識別情報証明書から導出された暗号情報を含んでよい。代替として、顧客は、場合によっては顧客のコンピュータによって仲介されて、識別情報プロバイダとサービスプロバイダの間の直接通信を開始するのを容易にしてよい。
【0058】
このプロセスでは、顧客は、単一の特定の識別情報プロバイダを公開してよい。代替として、顧客は、特定の識別情報プロバイダを公開せずに、識別情報プロバイダが識別情報プロバイダの許可されたセットに属するということを公開してよい。後者は、例えば、管轄区域内の認証された識別情報プロバイダのリストを参照するか、または識別情報プロバイダを認証した管轄区域の関係当局によって発行されたデジタル署名証明書を参照する、暗号ゼロ知識証明を使用して実行されてよい。さらに、顧客は、顧客に関して識別情報プロバイダが提供する別々の情報が補完になることができ、一貫性についてチェックされ得るように、複数の識別情報プロバイダを公開してよい。
【0059】
このプロセスの最後に、サービスプロバイダは、顧客に関する関連する情報を取得し、それによって、顧客が識別情報プロバイダに登録され、好ましい状況で識別情報を保持するということを検証する。この情報は、サービスプロバイダでの顧客のアカウントに関連付けられてよい。サービスプロバイダによって記録された情報は、SPによって要求された情報と、IPおよび顧客が公開することを選択する情報との組み合わせから、少なくとも部分的に派生してよい。一部の実施例によれば、この情報は、顧客の名前などの完全な識別情報を公開してよい。他の実施例によれば、伝達される情報は、「偽名」、すなわち、顧客の実際の識別情報と異なる顧客の識別子を含む。偽名は、識別情報プロバイダに対して顧客を一意に識別するように選択される。偽名は、各顧客が、顧客が登録する複数のSPにわたって共有された単一の偽名、または単一のプロバイダに固有の個別の偽名を持つように、選択されてよい。
【0060】
したがって、サービスプロバイダによって学習された情報は、正確な詳細も補強証拠も公開せずに、顧客の識別情報の属性を粗い粒度でサマリーとして伝達してよい。例えば、この情報は、顧客の市民権または住居の国(ただし、特定の住所ではない)、顧客の年齢幅(ただし、正確な年齢でも生年月日でもない)、顧客の収入範囲、および/または顧客の純資産の範囲を公開してよい。識別情報は、否定的性質の情報(例えば、市民権の特定の国を開示することを避けながら、顧客の市民権が特定の拒否リスト内にないということ)であってもよい。
【0061】
送金者、仮想アセットサービスプロバイダ、セキュリティ、および/または銀行取引の規制への適合性を含むが、これらに限定されない、さまざまな目的で、サービスプロバイダによって情報が要求されてよい。例えば、要求された情報は、ノーユアカスタマー(KYC)、アンチマネーロンダリング、テロ対策金融制裁命令に従うため、旅行規則命令に従うため、適格投資家ステータス(例えば、1933年の米国の証券取引法の規制Dに従う収入、純資産)を確認するため、米国の外国口座税務コンプライアンス法(FATCA)に従うため、および/または米国の公正および正確信用取引法(FACTA:Fair and Accurate Credit Transactions Act)に従うために使用されてよく、これらすべてが、顧客情報の収集および検証を必要とする。顧客の口座の制限または特徴(例えば、オプション取引、委託証拠金、または他の借入資本利用)を決定するため、および/または税関リスクに基づくポリシー用のデータとして使用されるために、サービスプロバイダによって情報が要求されてもよい。
【0062】
サービスプロバイダの報告
サービスプロバイダが顧客の識別情報をサービスプロバイダから受信した後に、サービスプロバイダは、顧客の代わりにサービスを実行することができる。これらのサービスの性質は、プロバイダの特定の性質に依存してよい。SPは、SPが顧客の識別情報に関連付けることを望む情報を記録してよい。例えば、SPは、内部データベース内にローカルにのみ必要とする情報を格納してよい。さらに、SPは、システム内の他の関係者にとって興味のある情報を取得してよい。この情報の例は、規制当局またはシステム内の他の関係者に伝達される必要があることがある、顧客による不正な挙動の報告(例えば、「疑わしい活動の報告」)、またはチェーン上の顧客の活動に関する有用な情報を伝達できる情報を含んでよいが、これらに限定されない。
サービスプロバイダが顧客の識別情報をサービスプロバイダから受信した後に、サービスプロバイダは、顧客の代わりにサービスを実行することができる。これらのサービスの性質は、プロバイダの特定の性質に依存してよい。SPは、SPが顧客の識別情報に関連付けることを望む情報を記録してよい。例えば、SPは、内部データベース内にローカルにのみ必要とする情報を格納してよい。さらに、SPは、システム内の他の関係者にとって興味のある情報を取得してよい。この情報の例は、規制当局またはシステム内の他の関係者に伝達される必要があることがある、顧客による不正な挙動の報告(例えば、「疑わしい活動の報告」)、またはチェーン上の顧客の活動に関する有用な情報を伝達できる情報を含んでよいが、これらに限定されない。
【0063】
この記録を容易にするために、SPは、識別情報プロバイダに、および/または役立つように識別情報と結合され得る他の関係者に、情報を送信してよい。この送信は、下でさらに説明される複数の方法で実現されてよい。
【0064】
識別情報の取り消しおよび更新
システム内の関係者は、SPによって保持されている識別情報に対する更新情報を提供してよく、かつ/または前に作成された識別情報アサーションを取り消してよい。前者は、IPで顧客情報が変化するときに発生することがあり、新しい更新された情報がSPに送信されることを必要とする。代替として、IPは、1つまたは複数のサービスプロバイダでの顧客の識別情報権限を取り消す必要があることがある。この取り消しは、例えば、顧客の識別情報が、サービスプロバイダに登録するために不正にアクセスされていることが判明した場合に発生することがある。この取り消しを容易にするために、IPはときどき、ブロードキャストメッセージを介して、またはSPに送信される専用メッセージを介して、1つまたは複数の取り消しメッセージをSPに送信してよい。これらの取り消しメッセージは、前にSPに対して作成された識別情報アサーションが有効として受け入れられなくなっていることをSPが確実に認識するように、構成される。このプロセスのメカニズムは、下でさらに詳細に説明される。
システム内の関係者は、SPによって保持されている識別情報に対する更新情報を提供してよく、かつ/または前に作成された識別情報アサーションを取り消してよい。前者は、IPで顧客情報が変化するときに発生することがあり、新しい更新された情報がSPに送信されることを必要とする。代替として、IPは、1つまたは複数のサービスプロバイダでの顧客の識別情報権限を取り消す必要があることがある。この取り消しは、例えば、顧客の識別情報が、サービスプロバイダに登録するために不正にアクセスされていることが判明した場合に発生することがある。この取り消しを容易にするために、IPはときどき、ブロードキャストメッセージを介して、またはSPに送信される専用メッセージを介して、1つまたは複数の取り消しメッセージをSPに送信してよい。これらの取り消しメッセージは、前にSPに対して作成された識別情報アサーションが有効として受け入れられなくなっていることをSPが確実に認識するように、構成される。このプロセスのメカニズムは、下でさらに詳細に説明される。
【0065】
技術的および実装の考慮事項
前述のメカニズムは、2つの異なる構成で実現されてよい。集中型の構成では、識別情報プロバイダ(例えば、IPによって許可された、関連付けられたサーバを含んでよい)が、サービスプロバイダとリアルタイムに通信して、識別情報アサーションを伝達する。この手法の利点は、HTTP、HTTPS、REST API、HTML、Webクッキーなどの、多くの既存のWebに基づく技術のうちの1つまたは複数を使用して実現され得るということである。分散型の構成では、IPは、暗号オブジェクトを顧客の顧客識別情報マネージャに送信し、顧客識別情報マネージャは、この値を格納し、SPに対して直接、識別情報に関するアサーションを作成できる。これらの構成は、相互排他的である必要はなく、例えば、分散型の構成は、SPとIPの間の通信を含んでよい。
前述のメカニズムは、2つの異なる構成で実現されてよい。集中型の構成では、識別情報プロバイダ(例えば、IPによって許可された、関連付けられたサーバを含んでよい)が、サービスプロバイダとリアルタイムに通信して、識別情報アサーションを伝達する。この手法の利点は、HTTP、HTTPS、REST API、HTML、Webクッキーなどの、多くの既存のWebに基づく技術のうちの1つまたは複数を使用して実現され得るということである。分散型の構成では、IPは、暗号オブジェクトを顧客の顧客識別情報マネージャに送信し、顧客識別情報マネージャは、この値を格納し、SPに対して直接、識別情報に関するアサーションを作成できる。これらの構成は、相互排他的である必要はなく、例えば、分散型の構成は、SPとIPの間の通信を含んでよい。
【0066】
共通の要素
構成の各々では、識別情報プロバイダが、顧客および顧客の口座に関する記録を含んでいるデータベースを維持する。これらの記録は、顧客の名前、住所、市民権、旅券の詳細、国民識別番号、デジタル通貨アドレス、証拠書類、および個人に対して実行される検証手順、顧客のトランザクション履歴、信用スコア、資金源などの情報を含んでよいが、これらに限定されない。識別情報プロバイダは、この情報の一部を代替の形態に要約する(例えば、トランザクション履歴データの集合を、サービスプロバイダに顧客の活動のスナップショット評価を提供する「リスクスコア」に変換する)ように構成されてもよい。
構成の各々では、識別情報プロバイダが、顧客および顧客の口座に関する記録を含んでいるデータベースを維持する。これらの記録は、顧客の名前、住所、市民権、旅券の詳細、国民識別番号、デジタル通貨アドレス、証拠書類、および個人に対して実行される検証手順、顧客のトランザクション履歴、信用スコア、資金源などの情報を含んでよいが、これらに限定されない。識別情報プロバイダは、この情報の一部を代替の形態に要約する(例えば、トランザクション履歴データの集合を、サービスプロバイダに顧客の活動のスナップショット評価を提供する「リスクスコア」に変換する)ように構成されてもよい。
【0067】
IPは、コンピュータネットワークと通信し、それによって、ブロックチェーンに基づくシステム(例えば、ビットコイン、イーサリアムなど)などの1つまたは複数の合意ネットワークにアクセスするように、さらに構成されてよい。IPは、このアクセスを使用して、顧客に関する追加情報を収集することができる。IPは、コンピュータネットワークを介して、顧客のマシン、顧客識別情報マネージャ、サービスプロバイダ、および/または接続された他の構成要素と情報をやりとりしてもよい(当業者は、識別情報プロバイダ自体が、複数のコンピュータまたは位置にわたってこれらの機能を分割してよいということを理解するであろう)。
【0068】
各識別情報プロバイダおよび1つまたは複数のサービスプロバイダは、信頼関係を確立してよい。この関係は、サービスプロバイダが、そのIPを本物の識別情報のソースとして決定することを必要とする。サービスプロバイダは、複数の識別情報プロバイダとの信頼関係を確立してよく、これらの信頼関係は、識別情報の特定の要素が条件とされてよく、例えば、サービスプロバイダは、識別情報プロバイダが特定の管轄区域の識別情報の妥当性を確認することを信用することができるが、他の管轄区域については信用することができない(例えば、識別情報プロバイダは、米国の識別情報の妥当性を確認することができるが、フランスの識別情報の妥当性を確認することはできない)。信頼関係は、逆方向にも当てはまることができ、例えば、IPは、前もって識別された特定のSPに対するアサーションのみをサポートしてよく、またはIPは、任意のSPに対するアサーションをサポートしてよい。
【0069】
この信頼は、識別情報プロバイダおよびサービスプロバイダの個別の対の間で確立されてよく、あるいは例えば、管轄区域内の認証された識別情報プロバイダのリストを介して、または管轄区域の関係当局によって発行されたデジタル署名証明書を介して、複数の識別情報プロバイダおよび/またはサービスプロバイダを信頼できるとしてマーク付けするシステムを採用してよい。
【0070】
集中型の構成
集中型の構成では、識別情報プロバイダは、下で説明されているように、通信ネットワークを介して直接、または仲介として顧客のコンピュータを使用して、SPとリアルタイムに通信する。
集中型の構成では、識別情報プロバイダは、下で説明されているように、通信ネットワークを介して直接、または仲介として顧客のコンピュータを使用して、SPとリアルタイムに通信する。
【0071】
顧客は、特定のサービスプロバイダとの新しい関係を確立してよく、かつ/または識別情報の検証を必要とするSPでアクションを実行してよい。そのような場合、SPおよびIPは、互いに(直接的または間接的に)通信して特定の情報を交換してよい。これは、以下を含んでよいが、これらに限定されない。
1.SPは、どの識別情報が必要とされるかをIPに具体的に示す。これは、すべての使用可能な情報が必要とされるということ、または識別情報のサブセットが必要とされるということを示す概要を含んでよい。以下では、この情報を指定するためのメカニズムが説明される。
2.IPは、SPが識別情報に関する情報を受信することが許可されるかどうか、およびSPがどのデータを受信するべきかを決定する。この決定プロセスは、IPとSPの間の信頼関係の存在を含む、IPに対してローカルなポリシーを含んでよい。この決定プロセスは、情報の転送のために、顧客が、明示的な許可を提供することを要求されるステップを含んでもよい。どのデータをSPに配信するべきかに関する決定は、識別情報要約エンジンと呼ばれる構成要素によって行われ、以下では、識別情報要約エンジンについて説明する。
3.IPは、顧客の識別情報に関する情報をSPに配信する。この配信は、識別情報をフィールドにエンコードするデータ構造を含んでいる送信を含んでよい。各フィールドは、顧客の識別情報の1つの側面を含んでよく、すべてのフィールドが、同じ顧客に属しているとして一緒に結び付けられる。このデータ構造は、顧客識別子の値も組み込むべきである。IPは、配達を目的とする他のSPからの更新されたリスク情報などの、IPが受信した補助記録を配信してもよい。
IPによってSPに配信される情報の少なくとも一部は、アサーションの形態であり、すなわち、この情報自体は、SPに送信されず、IPにとどまる。アサーションは、SPが、この情報自体に対するアクセス権限を持たずに、この情報の存在に関してIPに依存することを可能にする。
4.その後のある時点で、SPは、顧客に関する情報(例えば、不正なトランザクションに関する情報、または更新されたリスクスコア付け情報)を開発してよい。この時点で、SPは、情報をIPに報告してよく、この情報は、顧客に関するIPの知識を拡張するためにさらに使用され得る。この情報は、IPでデータベースに格納されてよく、かつ/または顧客の識別情報に結び付けられた識別子を使用している第三者によって格納されてよい。
1.SPは、どの識別情報が必要とされるかをIPに具体的に示す。これは、すべての使用可能な情報が必要とされるということ、または識別情報のサブセットが必要とされるということを示す概要を含んでよい。以下では、この情報を指定するためのメカニズムが説明される。
2.IPは、SPが識別情報に関する情報を受信することが許可されるかどうか、およびSPがどのデータを受信するべきかを決定する。この決定プロセスは、IPとSPの間の信頼関係の存在を含む、IPに対してローカルなポリシーを含んでよい。この決定プロセスは、情報の転送のために、顧客が、明示的な許可を提供することを要求されるステップを含んでもよい。どのデータをSPに配信するべきかに関する決定は、識別情報要約エンジンと呼ばれる構成要素によって行われ、以下では、識別情報要約エンジンについて説明する。
3.IPは、顧客の識別情報に関する情報をSPに配信する。この配信は、識別情報をフィールドにエンコードするデータ構造を含んでいる送信を含んでよい。各フィールドは、顧客の識別情報の1つの側面を含んでよく、すべてのフィールドが、同じ顧客に属しているとして一緒に結び付けられる。このデータ構造は、顧客識別子の値も組み込むべきである。IPは、配達を目的とする他のSPからの更新されたリスク情報などの、IPが受信した補助記録を配信してもよい。
IPによってSPに配信される情報の少なくとも一部は、アサーションの形態であり、すなわち、この情報自体は、SPに送信されず、IPにとどまる。アサーションは、SPが、この情報自体に対するアクセス権限を持たずに、この情報の存在に関してIPに依存することを可能にする。
4.その後のある時点で、SPは、顧客に関する情報(例えば、不正なトランザクションに関する情報、または更新されたリスクスコア付け情報)を開発してよい。この時点で、SPは、情報をIPに報告してよく、この情報は、顧客に関するIPの知識を拡張するためにさらに使用され得る。この情報は、IPでデータベースに格納されてよく、かつ/または顧客の識別情報に結び付けられた識別子を使用している第三者によって格納されてよい。
【0072】
IPは、SPへの配信のための顧客の識別情報のサブセットを少なくとも識別するように構成されてよい。本明細書の本開示および添付の特許請求の範囲では、「サブセット」という用語が、データベース内の識別情報フィールドの一部(すなわち、単語の文字どおりの意味でのサブセット)(すなわち、一部のフィールドが選択的に配信され、一部のフィールドが保留される)、および/または減らされた粒度を提供する一般化された形態で提供される情報を含んでよいということが理解されるであろう。例えば、IPのデータベース内のフィールドは、顧客の正確な生年月日を指定してよいが、IPは、代わりに、この正確なデータの近似的な日付または年齢(例えば、「顧客は21歳を超えている」)を配信してよい。IPは、顧客情報を明示的に識別する代わりに、偽名を生成するようにさらに構成されてよい。この偽名は、IPとこのSPの間でこの顧客に関して一意である顧客識別子または番号であってよい。
【0073】
顧客に配信されてSPと交換される情報は、仲介による許可されていない改ざんおよび/または盗聴に対して安全な方法で配信されてよい。この配信は、トランスポート層セキュリティ(TLS:Transport Layer Security)プロトコルを使用してIPとSPの間で安全なチャネルを確立することによって実現されてよく、トランスポート層セキュリティプロトコルは、インターネットプロトコル接続を経由して、2つのマシン間の暗号化されて暗号によって認証された通信を提供する。しかし、代替のメカニズムが使用されてもよく、例えば、識別情報プロバイダは、改ざんを防ぐために、この情報が暗号によって認証されるということを条件として、Webに基づくリダイレクトおよび他の標準的な技術を使用することによって、情報をSPに配信してよい。当業者は、JSON WebToken規格を含む、そのような通信のために多くの一般的な技術が存在するということを認識するであろう。
【0074】
したがって、IPは、機密性および信頼性が維持されること、ならびに必要な顧客識別情報のみがSPに公開されることを保証しながら、顧客識別情報を安全にSPに配信するように構成されてよい。IPは、この顧客に関するさらなる通信がIP/SP通信の一部として一意に参照され得るように、SPと、顧客の一意の識別子も確立する。
【0075】
当業者によく知られた上記のメカニズムの変形は、IPとSPの間でメッセージを直接送信する代わりに、IPおよびSPが、二者間でメッセージを渡すために顧客のコンピュータ(例えば、Webブラウザ)を仲介として使用して、メッセージを交換できることである。そのような中間通信メカニズムの使用は、シングルサインオンシステムなどのWebに基づくシステムにおける一般的な手法である。
【0076】
分散型の構成
システムの分散型の構成は、各顧客を認証するために、識別情報プロバイダとサービスプロバイダの間のリアルタイム通信を必要としない。代わりに顧客は、関連する識別情報を埋め込む暗号証明書を提供される。この証明書は、顧客によって顧客識別情報モジュール(CIM:Customer Identity Module)に格納されてよい。一部の例によれば、証明書の一部(例えば、証明書のパブリックな部分および/またはコミットメント/ハッシュ)は、ブロックチェーンなどのパブリックな台帳に格納されてよい。顧客識別情報モジュールは、コンピュータネットワークを介してサービスプロバイダおよび識別情報プロバイダと通信するように構成されてよい。サービスプロバイダが顧客の識別情報の認証を必要とする場合、サービスプロバイダは、CIMと情報をやりとりして、識別情報アサーションを取得し、識別情報アサーションは、例えば下で説明されるように、暗号によって認証される方法で顧客の識別情報に関する情報を指定する暗号オブジェクトである。
システムの分散型の構成は、各顧客を認証するために、識別情報プロバイダとサービスプロバイダの間のリアルタイム通信を必要としない。代わりに顧客は、関連する識別情報を埋め込む暗号証明書を提供される。この証明書は、顧客によって顧客識別情報モジュール(CIM:Customer Identity Module)に格納されてよい。一部の例によれば、証明書の一部(例えば、証明書のパブリックな部分および/またはコミットメント/ハッシュ)は、ブロックチェーンなどのパブリックな台帳に格納されてよい。顧客識別情報モジュールは、コンピュータネットワークを介してサービスプロバイダおよび識別情報プロバイダと通信するように構成されてよい。サービスプロバイダが顧客の識別情報の認証を必要とする場合、サービスプロバイダは、CIMと情報をやりとりして、識別情報アサーションを取得し、識別情報アサーションは、例えば下で説明されるように、暗号によって認証される方法で顧客の識別情報に関する情報を指定する暗号オブジェクトである。
【0077】
顧客は、特定のサービスプロバイダとの新しい関係を確立してよく、または識別情報の検証を必要とするSPでアクションを実行してよい。これが発生する場合、SPおよびCIMは、(直接的に、または第2のコンピュータを介して間接的に)通信して特定の情報を交換する。これは、以下を含んでよいが、これらに限定されない。
1.SPは、どの識別情報が必要とされるかをCIMに具体的に示す。これは、すべての使用可能な情報が必要とされるということ、または識別情報のサブセットが必要とされるということを示す概要を含んでよい。この情報の要求は、SPからの専用通信を介して実行されてよく、またはSPによって先験的に公表されてよい。具体的には、この情報の要求は、SPの仮想ウォレットのアドレスに添付されてよく、それによって、見込み客に、この仮想ウォレットを含むすべての資金の移動が、特定の要求された情報を提供することの対象になるということを通知する。
2.CIMは、SPが識別情報に関する情報を受信することが許可されるかどうか、およびSPがどのデータを受信するべきかを決定する。この決定プロセスは、CIMに対してローカルなポリシーに加えて、IPによって定義され、顧客の識別情報証明書に格納された一部のポリシーを含んでよい。この決定プロセスは、情報の転送のために、顧客が、明示的な許可を提供することを要求されるステップを含んでもよい。どのデータをSPに配信するべきかに関する決定は、この構成ではCIM内に位置する識別情報要約エンジンの変更された変形によって行われる。
3.CIMは、顧客の識別情報に関する情報をSPに配信する。この配信は、識別情報をフィールドにエンコードするデータ構造を含んでいる送信で構成されてよい。各フィールドは、顧客の識別情報の1つの側面を含んでよく、すべてのフィールドが、同じ顧客に属しているとして一緒に結び付けられる。このデータ構造は、顧客識別子の値も組み込むべきである。この情報が本物であることを保証するために、CIMは、識別情報証明書に基づいて形成された暗号証明(および/または署名)を添付してもよい。この証明は、情報が本物であることを保証するために、SPによって検証され得る。任意選択的に、この証明は、識別情報要約エンジンによって識別された選択的な開示が、特定のIPのポリシーに関して正しく形成されたということを示してよい。
CIMによってSPに配信される情報の少なくとも一部は、アサーションの形態であり、すなわち、この情報自体は、SPに送信されず、CIMにとどまる。アサーションは、SPが、この情報自体に対するアクセス権限を持たずに、この情報の存在に関してCIMに依存することを可能にする。
4.SPは、CIMによって提供された情報を使用して、顧客のリスクスコアに関する更新された情報などの、顧客に関する他の情報を任意選択的に要求してよい。この情報は、パブリックな位置に格納されてよく(例えば、ブロックチェーンにポストされるか、またはパブリックにアクセスできるデータストレージシステムに格納されてよく)、またはこの情報は、元のIPなどのプライベートなサービスから取得されてよい。このサービスの識別情報および位置は、この情報を取得するために必要とされる任意の顧客識別子およびアクセスコードと共に、ステップ(3)で配信される情報の一部として、CIMによってSPに提供されてよい。
5.その後のある時点で、SPは、顧客に関する新しい情報(例えば、不正なトランザクションに関する情報、または更新されたリスクスコア付け情報)を開発してよい。この時点で、SPは、情報を報告してよく、この情報は、顧客に関するIPの既知の情報を拡張するためにさらに使用され得る。この情報は、前のステップで識別された位置(例えば、パブリックなストレージ位置またはIPなどのプライベートなストレージ位置)に送信される。この情報は、この位置で顧客識別子に結び付けられる。このデータを保護するさらなる要素として、このデータは、パブリックな位置に格納されるときに暗号化されてよい。このデータに必要な復号鍵は、識別情報証明書に含まれてよく、ステップ(3)の一部としてCIMからSPに配信されてよい。
1.SPは、どの識別情報が必要とされるかをCIMに具体的に示す。これは、すべての使用可能な情報が必要とされるということ、または識別情報のサブセットが必要とされるということを示す概要を含んでよい。この情報の要求は、SPからの専用通信を介して実行されてよく、またはSPによって先験的に公表されてよい。具体的には、この情報の要求は、SPの仮想ウォレットのアドレスに添付されてよく、それによって、見込み客に、この仮想ウォレットを含むすべての資金の移動が、特定の要求された情報を提供することの対象になるということを通知する。
2.CIMは、SPが識別情報に関する情報を受信することが許可されるかどうか、およびSPがどのデータを受信するべきかを決定する。この決定プロセスは、CIMに対してローカルなポリシーに加えて、IPによって定義され、顧客の識別情報証明書に格納された一部のポリシーを含んでよい。この決定プロセスは、情報の転送のために、顧客が、明示的な許可を提供することを要求されるステップを含んでもよい。どのデータをSPに配信するべきかに関する決定は、この構成ではCIM内に位置する識別情報要約エンジンの変更された変形によって行われる。
3.CIMは、顧客の識別情報に関する情報をSPに配信する。この配信は、識別情報をフィールドにエンコードするデータ構造を含んでいる送信で構成されてよい。各フィールドは、顧客の識別情報の1つの側面を含んでよく、すべてのフィールドが、同じ顧客に属しているとして一緒に結び付けられる。このデータ構造は、顧客識別子の値も組み込むべきである。この情報が本物であることを保証するために、CIMは、識別情報証明書に基づいて形成された暗号証明(および/または署名)を添付してもよい。この証明は、情報が本物であることを保証するために、SPによって検証され得る。任意選択的に、この証明は、識別情報要約エンジンによって識別された選択的な開示が、特定のIPのポリシーに関して正しく形成されたということを示してよい。
CIMによってSPに配信される情報の少なくとも一部は、アサーションの形態であり、すなわち、この情報自体は、SPに送信されず、CIMにとどまる。アサーションは、SPが、この情報自体に対するアクセス権限を持たずに、この情報の存在に関してCIMに依存することを可能にする。
4.SPは、CIMによって提供された情報を使用して、顧客のリスクスコアに関する更新された情報などの、顧客に関する他の情報を任意選択的に要求してよい。この情報は、パブリックな位置に格納されてよく(例えば、ブロックチェーンにポストされるか、またはパブリックにアクセスできるデータストレージシステムに格納されてよく)、またはこの情報は、元のIPなどのプライベートなサービスから取得されてよい。このサービスの識別情報および位置は、この情報を取得するために必要とされる任意の顧客識別子およびアクセスコードと共に、ステップ(3)で配信される情報の一部として、CIMによってSPに提供されてよい。
5.その後のある時点で、SPは、顧客に関する新しい情報(例えば、不正なトランザクションに関する情報、または更新されたリスクスコア付け情報)を開発してよい。この時点で、SPは、情報を報告してよく、この情報は、顧客に関するIPの既知の情報を拡張するためにさらに使用され得る。この情報は、前のステップで識別された位置(例えば、パブリックなストレージ位置またはIPなどのプライベートなストレージ位置)に送信される。この情報は、この位置で顧客識別子に結び付けられる。このデータを保護するさらなる要素として、このデータは、パブリックな位置に格納されるときに暗号化されてよい。このデータに必要な復号鍵は、識別情報証明書に含まれてよく、ステップ(3)の一部としてCIMからSPに配信されてよい。
【0078】
集中型の構成を参照して上で説明されたように、CIMは、IPからの入力を使用して、SPへの配信のための顧客の識別情報のサブセットを識別するように構成されてよい。CIMまたはIPは、顧客情報を明示的に識別する代わりに、偽名を生成してもよい。この偽名は、IPとこのSPの間でこの顧客に関して一意である顧客識別子または番号であってよい。
【0079】
IPが必ずしもすべての識別情報アサーションに関与しないため、CIMが完全に(SPにとって信頼できないことがある)顧客の制御下にあるとしても、CIMがSPに対して顧客の識別情報に関する有用な情報を主張できるように、暗号技術が提供されてよい。これを実現するために、CIMは、例えば、匿名認証情報およびゼロ知識証明のフィールドから、各識別情報アサーションに対して「正しさの非対話式証明」を生成するために、1つまたは複数の暗号技術を実装するように構成されてよい。デジタルオブジェクトであるこの証明は、CIMによって、識別情報証明書および他のローカルな鍵材料を入力として使用して生成され、SPによって検証され得る。この証明が検証された後に、SPは、識別情報アサーションに含まれる情報が本物であるということを保証され得る(すなわち、この証明は、識別情報証明書内の認証されたデータの真の要約を表す)。この証明は、セキュリティを侵害されたCIMであっても偽の識別情報アサーションをSPに発行することができないということを保証することができる。下で説明されるように、識別情報プロバイダは、顧客に関連付けられた識別情報証明書を取り消すこと、および/または更新された情報を使用して、そのような証明書を修正することを行うように構成されてよい。
【0080】
分散型の設定は、SPによる情報の報告をさらにサポートしてよい。SPによって提供される情報は、前述の報告に類似してよい。しかし、報告が発生するメカニズムは異なることができる。1つの実施形態では、SPは、(集中型の設定におけるように)情報をIPに直接報告し、更新情報をIPから直接受信することができる。しかし、他の実施形態では、SPは、情報をパブリックなストレージ実体またはプライベートなストレージ実体(例えば、ブロックチェーン、ファイル共有サービス、および/または他の顧客に配信するためにデータを単に保持する第三者)などの外部システムに報告してよい。これを可能にするために、識別情報証明書は、認証トークンおよびデータを報告するための位置を含んでよく、そのためSPは、これらのサービスを介してデータを交換することができる。SPによって報告されるデータは、CIMの識別情報アサーションによってSPに対して指定された暗号鍵に従って暗号化されてもよく、他のSPからSPによって受信された報告は、同じ暗号鍵(または関連する暗号鍵)を使用して復号されてよい。このメカニズムは、以下でさらに詳細に説明される。
【0081】
CIMが顧客のマシンに位置しているため、CIMは、IPが使用できない、顧客のトランザクションに関する追加情報に対するアクセス権限を有してもよい。例えば、CIMが顧客のデジタル「ウォレット」に存在する場合、CIMは、受信者情報および量を含む、すべての過去のトランザクションの完全なリストに対するアクセス権限を有してよい。CIMは、この情報を、CIMがSPに対して作成するアサーションに組み込むように構成されてよい。例えば、CIMは、顧客がSPとの既存の関係を有するということの証明として、一部のトランザクションが特定のSPに発行されたということを主張するように、構成されてよい。この情報は、明示的に(例えば、デジタル通貨ネットワーク上の明示的なトランザクションを参照して)提供されてよく、またはプライバシー保護暗号技術を使用して要約されてよい。これは、ブロックチェーンなどのパブリックな可視の暗号通貨台帳上の、特定の基準を満たす1つまたは複数のトランザクションの存在を示す、ゼロ知識証明を使用して実現されてよい。そのような証明を計算するための適切な技術は、当技術分野においてよく知られている。
【0082】
技術的詳細
識別情報要約エンジンならびに識別情報の要求およびアサーションの構文
本明細書に記載されたシステムは、サービスプロバイダに格納される顧客に関する顧客の個人を特定できる情報(PII:Personal Identifiable Information)の量を最小限に抑えることができる方法で、情報をサービスプロバイダに選択的に開示するように構成されてよい。どの情報が開示されるかに関する決定は、例えば、異なるサービスプロバイダ間のデータを安全に格納するための要件および能力のため、サービスプロバイダ間で異なってよい。(選択的な開示は、特定のフィールドを編集することに加えて、一部の識別情報をあまり具体的でない形態に変更すること、例えば正確なデータをカテゴリまたはサマリーに減らすことを含んでよい。)システムが、多数のサービスプロバイダおよび顧客に合わせて拡大できることを保証するために、選択的な開示のプロセスが、かなりの程度まで自動化されてよい。
識別情報要約エンジンならびに識別情報の要求およびアサーションの構文
本明細書に記載されたシステムは、サービスプロバイダに格納される顧客に関する顧客の個人を特定できる情報(PII:Personal Identifiable Information)の量を最小限に抑えることができる方法で、情報をサービスプロバイダに選択的に開示するように構成されてよい。どの情報が開示されるかに関する決定は、例えば、異なるサービスプロバイダ間のデータを安全に格納するための要件および能力のため、サービスプロバイダ間で異なってよい。(選択的な開示は、特定のフィールドを編集することに加えて、一部の識別情報をあまり具体的でない形態に変更すること、例えば正確なデータをカテゴリまたはサマリーに減らすことを含んでよい。)システムが、多数のサービスプロバイダおよび顧客に合わせて拡大できることを保証するために、選択的な開示のプロセスが、かなりの程度まで自動化されてよい。
【0083】
自動化された選択的な開示のこのプロセスを可能にするために、例えば図2に示されているように、識別情報要約エンジン(ISE:identity summarization engine)が提供されてよい。ISEは、1つまたは複数の顧客データレコードに加えて、どのデータが必要とされるかを詳述するサービスプロバイダからの要求、および任意選択的に、識別情報ポリシーなどの何らかの補助情報を記録するように構成される。一部の例によれば、補助情報は、非識別情報データに関連してよく、例えば、口座に関連するトランザクション履歴、口座に関連しない顧客の活動(例えば、ブロックチェーンに記録された口座に関連するトランザクション履歴ならびに口座に関連しない顧客の活動、および/またはサービスプロバイダによって記録された口座に関連するトランザクション履歴ならびに口座に関連しない顧客の活動)、資金源などを含むが、これらに限定されない、顧客の活動および/または口座に関連する非識別情報データに関連してよい。その後、ISEは、顧客データから特定のフィールドを選択することによって、または顧客データのサブセットを、例えば正確だがあまり具体的でない形態で提供することによって、どの顧客データがSPに選択的に開示されるべきかを決定する。ISEは、(例えば、集中型の設定では)識別情報プロバイダによって直接操作されてよく、またはCIMの一部として展開されてよい。
【0084】
ISEの動作
動作中に、ISEは、SPからの要求(SPからの直接的な要求、またはIPもしくはCIMによって提供された要求)、顧客レコード、およびポリシーを入力として受信する(ただし、追加情報も取り込んでもよい)。ISEは、フィールドが、SPに配信されるべきか、SPに配信されるアサーションから除外されるべきか、またはあまり具体的でない情報を使用して一般化されるべきかを決定するために、顧客データの各フィールドを処理する。加えて、ISEは、フィールドが、1つまたは複数の他のフィールドからの情報と結合して、(フィールドの現在の形態、またはサブセット、すなわち、一部もしくは一般化のいずれかで)SPに配信されるアサーションに含まれるべきであるということを決定してよい。各フィールドに対するISEの動作は、ポリシーに依存してよく、ポリシーは、例えばSPに固有の方法で、例えばどの情報が配信されるべきか、要約されるべきか、または保留されるべきか、および/あるいはどの情報が結合されるべきかを指示してよい。
動作中に、ISEは、SPからの要求(SPからの直接的な要求、またはIPもしくはCIMによって提供された要求)、顧客レコード、およびポリシーを入力として受信する(ただし、追加情報も取り込んでもよい)。ISEは、フィールドが、SPに配信されるべきか、SPに配信されるアサーションから除外されるべきか、またはあまり具体的でない情報を使用して一般化されるべきかを決定するために、顧客データの各フィールドを処理する。加えて、ISEは、フィールドが、1つまたは複数の他のフィールドからの情報と結合して、(フィールドの現在の形態、またはサブセット、すなわち、一部もしくは一般化のいずれかで)SPに配信されるアサーションに含まれるべきであるということを決定してよい。各フィールドに対するISEの動作は、ポリシーに依存してよく、ポリシーは、例えばSPに固有の方法で、例えばどの情報が配信されるべきか、要約されるべきか、または保留されるべきか、および/あるいはどの情報が結合されるべきかを指示してよい。
【0085】
ISEによって使用される情報は、実装によって異なってよい。例えば、SPの要求は、SPがどのフィールドを要求しているかに関する詳細な情報を含んでよく、またはそのような詳細を含まなくてよい。ポリシーは、各フィールドを処理するためのルールをエンコードする、汎用コンピュータプログラミングまたはスクリプト言語で表されてよく、チューリング完全であってよい。代替として、ポリシーは、単に、各フィールドを使用してどのアクションを実行するべきかを決定するためにデータ処理システムによって解釈され得るルールのより制限されたセットを記述してよい。
【0086】
識別情報の要求およびアサーション言語
ISEを実現するために、一部の実施例に従うシステムは、SPからの識別情報要求を指定するための要求言語に加えて、SPに対して作成された識別情報アサーションを指定してよい。要求言語は、(例えば、JSONのような形式)機械可読形式で、SPがどの識別情報フィールドをどの粒度で必要とするかを指定する。例えばSPは、次のように、必要とされるフィールドのタプルを指定してよい。
required_fields = {full_name, age, investor_status, legal_jurisdiction}
ここで、上記のトークン名の各々は、顧客レコード内に格納された標準的な情報を表す。さらに、SPは、特定のフィールドが要約された形態で配信され得るということを識別してよい。例えば、SPの要求は、SPが「顧客が21歳を超えているかどうか」を知ることのみを要求するということを示してよい。この要求は、複数の可能な形式で表され得る。SPは、識別情報フィールドがいつ任意選択的として扱われ得るか、またはプレースホルダ(例えば、顧客の名前の代わりの偽名)に置き換えられ得るかを識別してもよい。例えば、
required_fields = {full_name, age:{>=21}, investor_status, legal_jurisdiction={!=”EU”}}
は、SPが、顧客が少なくとも21歳であることを知ることのみを要求していること、および顧客が明示的に「EU」管轄区域内にいないということを示してよい。
ISEを実現するために、一部の実施例に従うシステムは、SPからの識別情報要求を指定するための要求言語に加えて、SPに対して作成された識別情報アサーションを指定してよい。要求言語は、(例えば、JSONのような形式)機械可読形式で、SPがどの識別情報フィールドをどの粒度で必要とするかを指定する。例えばSPは、次のように、必要とされるフィールドのタプルを指定してよい。
required_fields = {full_name, age, investor_status, legal_jurisdiction}
ここで、上記のトークン名の各々は、顧客レコード内に格納された標準的な情報を表す。さらに、SPは、特定のフィールドが要約された形態で配信され得るということを識別してよい。例えば、SPの要求は、SPが「顧客が21歳を超えているかどうか」を知ることのみを要求するということを示してよい。この要求は、複数の可能な形式で表され得る。SPは、識別情報フィールドがいつ任意選択的として扱われ得るか、またはプレースホルダ(例えば、顧客の名前の代わりの偽名)に置き換えられ得るかを識別してもよい。例えば、
required_fields = {full_name, age:{>=21}, investor_status, legal_jurisdiction={!=”EU”}}
は、SPが、顧客が少なくとも21歳であることを知ることのみを要求していること、および顧客が明示的に「EU」管轄区域内にいないということを示してよい。
【0087】
この情報がSPに配信され得るかどうかを判定するために、ISEによって任意の要求が処理されてよく、(許可される場合)各必要なフィールドが、顧客データレコードから抽出され、SPに配信され得る。応答メッセージはアサーション言語で表され、アサーション言語は、要求されたデータを含み、さらに、顧客識別子および更新を容易にするためのフィールドを含んでよい、機械可読形式である。例えば、
{
“Customer_id”, 92348723483,
“full_name”:“Arthur Wallace Peterson”,
“age”:43,
“investor_status”:“accredited”,
“legal_jurisdiction:“US”,
“update_location”:“https://identity-provider.com/updates”
“update_token”:“932hbc0wehraehamsnebkaadk2efsvds2bzkhbjWz”
}
{
“Customer_id”, 92348723483,
“full_name”:“Arthur Wallace Peterson”,
“age”:43,
“investor_status”:“accredited”,
“legal_jurisdiction:“US”,
“update_location”:“https://identity-provider.com/updates”
“update_token”:“932hbc0wehraehamsnebkaadk2efsvds2bzkhbjWz”
}
【0088】
アサーション言語のメッセージは、(例えば、顧客データレコードを指定する)特定の要求に応じて構成要素を含んでよい。アサーション言語のメッセージは、情報フィールドがいつ編集または要約されたかを識別する能力などの、標準的な要素を含んでもよい。例えば、以下の応答は、前述の第2の照会に応答する要約を示すことができ、ポリシーの制限に起因してレコードのinvestor_status構成要素が編集されたことも示す。
{
“Customer_id”, 92348723483,
“full_name”:“Arthur Wallace Peterson”,
“age”[>=21]:TRUE,
“investor_status”:{null, not_available_with_policy},
“legal_jurisdiction”[!=EU]:TRUE,
“update_location”:“https://identity-provider.com/updates”
“update_token”:“932hbc0wehraehamsnebkaadk2efsvds2bzkhbjWz”
}
{
“Customer_id”, 92348723483,
“full_name”:“Arthur Wallace Peterson”,
“age”[>=21]:TRUE,
“investor_status”:{null, not_available_with_policy},
“legal_jurisdiction”[!=EU]:TRUE,
“update_location”:“https://identity-provider.com/updates”
“update_token”:“932hbc0wehraehamsnebkaadk2efsvds2bzkhbjWz”
}
【0089】
上記の例は、要求および応答の言語がどのようなものであることができるかの一例である。完全な実装は、例えば、標準的な規則との相互運用性のため、または簡潔さのために、異なる表記を使用してよい。
【0090】
上に示されたように、識別情報アサーションは、更新された情報および顧客の取り消し情報が見つけられ得る位置を含んでもよい。この位置は、URLによって識別されてよく、データにアクセスして取り出された情報を復号するために必要とされる、許可トークン(例えば、パスワード)および復号鍵などの識別子を含んでもよい。
【0091】
ポリシー
ISEは、SPの要求および顧客データに加えて、識別情報プロバイダによって選択された1つまたは複数のポリシーを入力として受け取るように構成されてよい。これらのポリシーは、SPの要求と一緒に、ISEが、どのフィールドが返されるべきか、およびどのフィールドが要約または編集されるべきかを決定することを可能にする。前述したように、ポリシーは、SPの要求および顧客データの要素に対して動作すること、ならびに/あるいはデータを出力または要約する方法に関する決定を行うことができるコンピュータプログラムまたはスクリプトを含んでよい。代替として、ポリシーは、ISEが、決定を行うためにこのデータに対して評価することができる、基本的ルールを単に指定することができる。
ISEは、SPの要求および顧客データに加えて、識別情報プロバイダによって選択された1つまたは複数のポリシーを入力として受け取るように構成されてよい。これらのポリシーは、SPの要求と一緒に、ISEが、どのフィールドが返されるべきか、およびどのフィールドが要約または編集されるべきかを決定することを可能にする。前述したように、ポリシーは、SPの要求および顧客データの要素に対して動作すること、ならびに/あるいはデータを出力または要約する方法に関する決定を行うことができるコンピュータプログラムまたはスクリプトを含んでよい。代替として、ポリシーは、ISEが、決定を行うためにこのデータに対して評価することができる、基本的ルールを単に指定することができる。
【0092】
上記では、ポリシーが完全なSPの要求および顧客データに対して動作するように説明されているが、ポリシーが、部分的な顧客データに対して推論してもよいということが、理解されるであろう。例えば、顧客データは、顧客レコード内のフィールドの名前のみを含んでよく、ISEは、要約または除外されるべきであるフィールドに関する命令を出力することができる。
【0093】
暗号認証
SPは、新しい識別情報アサーションを受け入れるために、アサーションが本物であるということを確認しなければならない。これは、(1)識別情報アサーションが、識別情報プロバイダによって保持されている情報と一致していること、および任意選択的に(2)どの情報を送信、除外、および要約するべきかに関する特定の決定が、識別情報プロバイダによって許可されていることという、2つのことを意味する。
SPは、新しい識別情報アサーションを受け入れるために、アサーションが本物であるということを確認しなければならない。これは、(1)識別情報アサーションが、識別情報プロバイダによって保持されている情報と一致していること、および任意選択的に(2)どの情報を送信、除外、および要約するべきかに関する特定の決定が、識別情報プロバイダによって許可されていることという、2つのことを意味する。
【0094】
集中型の設定
集中型の設定では、IPおよびSPは、直接、または仲介として顧客のコンピュータを使用して、リアルタイムに通信する。この設定では、暗号認証が、次のようなさまざまな方法で処理される。
1.SPとIPの間の直接通信の場合、二者は、トランスポート層セキュリティプロトコル(以前はSSLとして知られていた)を使用することができる。このプロトコルは、デジタル証明書を使用して二者の片側認証または相互認証を提供し、二者間の暗号化されて認証された接続を確立する。IPと直接そのような接続を開始するSPは、暗号プロトコルが、接続が有効であること、および受信されたデータが本物であること、例えば、第三者による変更またはデータの挿入に対して保護されることを保証するため、識別情報アサーションを含む、この接続を経由して受信されたすべてのデータの信頼性を検証することができる。
2.SPとIPの間の間接通信の場合、二者は、デジタル署名またはメッセージ認証コードを使用して、IPからSPへの間で配信されメッセージを認証することができる。これらの値は、例えば、JWTトークンまたはURLを介して配信され得る。仲介のWebブラウザを介して2つのシステム間で暗号化されて認証された情報を配信するための複数の実用的な解決策が、文献において知られている。
集中型の設定では、IPおよびSPは、直接、または仲介として顧客のコンピュータを使用して、リアルタイムに通信する。この設定では、暗号認証が、次のようなさまざまな方法で処理される。
1.SPとIPの間の直接通信の場合、二者は、トランスポート層セキュリティプロトコル(以前はSSLとして知られていた)を使用することができる。このプロトコルは、デジタル証明書を使用して二者の片側認証または相互認証を提供し、二者間の暗号化されて認証された接続を確立する。IPと直接そのような接続を開始するSPは、暗号プロトコルが、接続が有効であること、および受信されたデータが本物であること、例えば、第三者による変更またはデータの挿入に対して保護されることを保証するため、識別情報アサーションを含む、この接続を経由して受信されたすべてのデータの信頼性を検証することができる。
2.SPとIPの間の間接通信の場合、二者は、デジタル署名またはメッセージ認証コードを使用して、IPからSPへの間で配信されメッセージを認証することができる。これらの値は、例えば、JWTトークンまたはURLを介して配信され得る。仲介のWebブラウザを介して2つのシステム間で暗号化されて認証された情報を配信するための複数の実用的な解決策が、文献において知られている。
【0095】
この設定では、識別情報アサーションが識別情報プロバイダから直接派生するため、SPが、アサーションが本物であるということを検証できるときはいつでも、SPが、IPによって識別情報の要約も決定されたということを検証するように構成されてもよいということが、理解されるであろう。これによって、この決定されたということが真であるということをSPに対して証明するためにさらなる暗号メカニズムを提供する必要性を取り除くことができる。
【0096】
分散型の設定
この設定では、IPは、顧客の識別情報に関する関連する詳細を含んでいる識別情報証明書を顧客(具体的には、顧客識別情報マネージャ構成要素)に提供する。次に、CIMは、SPが本物として検証することができる、SPに対する識別情報アサーションを作成しなければならない。
この設定では、IPは、顧客の識別情報に関する関連する詳細を含んでいる識別情報証明書を顧客(具体的には、顧客識別情報マネージャ構成要素)に提供する。次に、CIMは、SPが本物として検証することができる、SPに対する識別情報アサーションを作成しなければならない。
【0097】
一部の実施例によれば、CIMからSPへの識別情報アサーションは、どのようなフィールドの選択的開示も要約も伴わずに、識別情報証明書全体をCIMからSPに送信することによって作成される。この設定では、識別情報証明書は、識別情報プロバイダによって形成されたその内容に対するデジタル署名を含んでよい。SPは、識別情報証明書の受信時に、IPの公開鍵に関して署名が有効であることを検証することによって、証明書が有効である(すなわち、IPによって生成された)ということを検証することができる(デジタル署名が、文書の信頼性を証明するという点において実際の署名に類似する暗号オブジェクトであるということが、理解されるであろう。デジタル署名に関しては、署名する関係者(この場合はIP)は、IPによってすべての関係者に発行された第2の関連する「公開鍵」を使用して、この署名が本物であるとして検証され得るように、任意のメッセージ(識別情報証明書データ)に署名を行うことができる、秘密鍵を保持する)。
【0098】
一部の実施例によれば、システムは、SPが信頼性を検証することを可能にしながら、選択的な開示を可能にするように構成される。
【0099】
SPが信頼性を検証することを可能にしながら選択的な開示が可能にされる一部の実施例によれば、IPは、各データフィールドに対するデジタルコミットメント(digital commitment)を計算し、次に、コミットメント値のすべてを結合し、結合された結果に署名するように構成される。識別情報証明書は、署名と共に、デジタルコミットメントの完全なリストを含み、CIMは、データフィールドおよびフィールドごとのコミットメントの「公開(opening)」値の平文のリストも与えられる。CIMが識別情報アサーションをSPに送信するときに、CIMは、CIMがSPに公開することを望むデータフィールドに対応するすべてのコミットメントの「公開」値に加えて、データフィールド自体と共に、コミットメントおよび署名を含んでいる完全な識別情報証明書を送信する。次に、SPは、署名が有効であること、ならびに各データフィールドおよび公開値が対応するコミットメントと一致していることを検証することができる(デジタルコミットメントは、エンベロープに似ている暗号オブジェクトである。コミットメントを作成するために、任意選択的なランダムなデータと共に、データフィールドが入力として提供され、その結果は、データフィールドの内容を公開しないコミットメントと呼ばれるオブジェクトに加えて、「公開」値である。コミットメント、公開値、および内容を前提として、任意の関係者は、コミットメントが矛盾していないことを検証することができる。コミットメントの重要な特性は、形成された後に、コミットメントが、コミットメントの形成に使用されたデータ値と異なるデータ値へ「公開する」ことが実現不可能になるはずであるということである)。
【0100】
これらの実施例によれば、CIMは、データフィールドをSPに選択的に公開するように構成されてよい。CIMが選択的に公開することを望むフィールドの場合、CIMは、(識別情報証明書に含まれるコミットメントに加えて)データフィールドおよびコミットメントの公開を提供するように構成されてよい。CIMが公開することを望まないフィールドの場合、CIMは、データフィールドおよびコミットメントの公開を除外する。その後、SPは、識別情報証明書を使用して、すべての選択的に公開された値が矛盾しておらず、本物であるということを保証されるが、SPは、CIMが公開することを選択しないどの値も学習しない。
【0101】
さらに効率的であることがあるこの構造の複数の変形が可能であるということが、理解されるであろう。例えば、IPは、コミットメントのすべてに対して、ハッシュツリーの葉に含まれてよい、ツリー上のマークルハッシュツリーを計算することを選択し、すべての公開された値が正しいということをSPに納得させるために、ハッシュツリーの一部を公開してよい。CIMは、CIMが公開することを望む値のマークルハッシュツリーの一部を送信してよい。この手法によれば、SPに送信されるデータ量は、識別情報証明書内のフィールドの数において、劣線形であることができる。
【0102】
上記の手法は、識別情報証明書内のフィールドの選択的開示を容易にすることができる。要約を提供するために、CIMが、証明書内の元の値を公開せずに、識別情報証明書内の1つまたは複数のフィールドの数学関数を公開することを可能にする暗号方法が、存在することができ、この関数が正しく計算されたということをSPに納得させるために、提供されてよい。例えば、数学関数は、顧客の年齢を入力として受け取り、顧客が21歳を超えている場合に、「真」を出力することができる。他の関数は、例えば、情報を「バケット化」するか、または他の方法で要約することによって、顧客情報をあまり正確でない表現に変換することができる。
【0103】
分散型の設定の代替の実施形態は、「匿名認証情報」技術を使用して、CIMが識別情報アサーションを作成することを可能にする。構造化されて認証された文書に対して暗号アサーションを作成するための一連の暗号技術が知られている。この枠組みでは、中央の「関係当局」が、例えば、複数のフィールドを含んでいる情報を含む「認証情報」と呼ばれる文書に暗号によって署名する。この認証情報は、関係当局によって直接署名されて顧客に与えられてよく、またはこの認証情報は、関係当局が認証情報に関するどの(または一部の)情報も学習せずに、認証情報を所有している人が関係当局と情報をやりとりして、この認証情報に対する署名を取得できるような方法で、「ブラインド署名」を使用して署名されてよい。その後、署名された文書を保持している顧客は、認証情報の特定の内容に対してアサーションを生成することができ、例えば、この顧客は、何らかの第三者(「検証器」と呼ばれる)に対して、顧客がそのような認証情報を所有していること、または認証情報が特定の情報を含んでいることの証明を示す暗号メッセージを生成することによって、認証情報を「表示する」ことができる。この検証器の関係者は、元の関係当局と同じ関係者であってよく、または検証器は第三者であってよい。そのような「匿名認証情報」は、認証情報「表示」メッセージが、関係当局によって署名された元の認証情報に逆向きに容易にリンクされないということを保証することができる。したがって、関係当局が多くの認証情報に署名し、その後、認証情報の「表示」メッセージを見る場合、関係当局は、これらの認証情報のうちのどれが表示されているかを決定することができないはずである。同様に、検証器によって不正な活動が検出されずに、顧客が関係当局によって発行されなかった認証情報を「表示する」ことは、実現不可能であるはずである。適切な匿名認証情報は、当技術分野においてよく知られている。
【0104】
匿名認証情報のさらに強力な変形は、「効率的なプロトコルを伴う署名」を使用し、この変形も、従来技術においてよく知られている。この変形は、複数フィールドの匿名認証情報に署名することができる署名方式を定義し、顧客が、署名されたデータに対して任意の関数を証明できるようにする。例えば、署名された認証情報を保持している顧客は、認証情報のフィールドを単に公開することができ、認証情報のフィールドを除外することができ、または顧客が何らかの数学関数を満たす署名された認証情報からフィールドを入力したという知識のゼロ知識証明を公開することができる。この数学関数は、入力フィールドを要約された入力にマッピングする要約関数であることができる。このプロセスの性質は、「認証情報の表示」が、認証情報の1つまたは複数のフィールドの要約を公開し、表示を実行している顧客が、この要約と一致する認証情報を持っていることを証明することができるということである。これらの署名は、強RSA仮定、双線型写像、および他の暗号技術に基づいて、署名から実現され得る。
【0105】
一部の実施例によれば、分散型の設定は、そのような匿名認証情報を次のように使用する。識別情報証明書を取得するため、CIMは、顧客の識別情報に対する匿名認証情報を取得する。この署名された情報は、複数フィールドの匿名認証情報に格納されてよく、ブラインド署名抽出プロトコルを使用するか、または単に、IPに認証情報に署名させて、認証情報をCIMに配信させることによって、CIMに配信されてよい。SPが、CIMからの識別情報アサーションを必要とする場合、CIM上のISEシステムは、ここで、CIMにも格納されているポリシーを評価し、証明書のどのフィールドがSPに公開されるべきであり、どのフィールドが要約されるべきであるということを正確に決定する。要約されるべきであるフィールドの場合、CIMは、ここで、証明書のフィールドに対する数学的要約関数を導出し、要約された値を出力する。最後に、CIMは、公開された要約が署名された証明書と一致するということを証明する暗号メッセージである認証情報「表示」を計算する。
【0106】
要約の1つの例は、各交換に対して一意である顧客の偽名を開発することである。識別情報証明書は、識別情報プロバイダに固有の顧客識別子を含むべきである。しかし、IPおよびCIMは、この一意の識別情報をSPに公開することを望まず、代わりに、SPごとに「疑似識別子」を生成することを望むことがある。この事例を処理するために、CIMは、顧客識別子をSPに固有の識別子に「絡ませる」要約関数を使用して、SPに固有の疑似IDを取得するように構成されてよい。この要約関数は、例えば、鍵が顧客識別子である、疑似ランダム関数などの関数であってよく、この関数への入力は、SPの一意の識別子である。
【0107】
報告
前述したように、SPは、識別情報プロバイダに格納され、かつ/または他のサービスプロバイダに配布されなければならない追加情報を生成するように、構成されてよい。そのような情報は、顧客によって生成された不正なトランザクションに関する情報、または顧客の活動に関する新しい情報を含んでよいが、これらに限定されない。この情報は、システム内のすべての参加者への配信を対象にしてよく、または特定の関係者に制限されてよい。
前述したように、SPは、識別情報プロバイダに格納され、かつ/または他のサービスプロバイダに配布されなければならない追加情報を生成するように、構成されてよい。そのような情報は、顧客によって生成された不正なトランザクションに関する情報、または顧客の活動に関する新しい情報を含んでよいが、これらに限定されない。この情報は、システム内のすべての参加者への配信を対象にしてよく、または特定の関係者に制限されてよい。
【0108】
前述したように、集中型の設定および分散型の設定の両方では、情報を識別情報プロバイダに直接送信することによって、情報が報告されてよい。この報告は、報告位置(例えば、URL)を、識別情報証明書の一部としてSPに配信することによって、実現され得る。このURLは、アクセスを許可する1つまたは複数のAPI鍵または認証トークンに関連付けられてよい。新しい情報を報告するために、SPは、IPとの通信を確立し、例えばHTTP(S)接続を介して、安全な方法で情報を送信する。次に、この情報は、識別情報プロバイダによってデータベースに記録され、後で他の顧客およびSPに配信するために処理されてよい。
【0109】
一部の実施例によれば、例えば、システムが分散型の設定に従って動作する場合、この情報は、ブロードキャストチャネルまたはストレージシステムを介して他のSPに配信されてよい。1つのそのようなチャネルは、ブロックチェーンなどの合意ネットワークの使用である。
【0110】
複数の識別情報プロバイダ
一部の実施形態では、単一の識別情報プロバイダが、単独で、顧客の識別情報を持つ役割および/または報告された情報を格納する役割を担わなくてよい。例えば、図3に概略的に示されているように、顧客の識別情報は、集約された識別情報アサーションを提供するために協力して働く複数の協力する識別情報プロバイダにわたって分割されてよい(「協力する」という用語が、本明細書の本開示および添付の特許請求の範囲では、そのようなIP、すなわち、必要とされるアサーションの一部をそれぞれ提供するIPによって果たされる、協力する役割を表すために使用され、それによって提供される集合的アサーションが、SPによって必要とされる情報のすべてを包含し、実際には、協力するIPが必ずしも互いに通信しないということが理解されるであろう)。このメカニズムは、すべてのプロバイダにわたって一意の顧客識別子を確立することによって実現されることが可能である、各プロバイダは、その識別情報プロバイダによって保持されている関連する情報を含む構成要素識別情報アサーション(component identity assertion)または識別情報証明書を生成する。SPでの完全なアサーション、またはCIMで識別情報証明書として使用するための情報の完全なセットを提供するために、例えば顧客識別子に従って、これらの構成要素識別情報アサーションまたは識別情報証明書が集約され得る。
一部の実施形態では、単一の識別情報プロバイダが、単独で、顧客の識別情報を持つ役割および/または報告された情報を格納する役割を担わなくてよい。例えば、図3に概略的に示されているように、顧客の識別情報は、集約された識別情報アサーションを提供するために協力して働く複数の協力する識別情報プロバイダにわたって分割されてよい(「協力する」という用語が、本明細書の本開示および添付の特許請求の範囲では、そのようなIP、すなわち、必要とされるアサーションの一部をそれぞれ提供するIPによって果たされる、協力する役割を表すために使用され、それによって提供される集合的アサーションが、SPによって必要とされる情報のすべてを包含し、実際には、協力するIPが必ずしも互いに通信しないということが理解されるであろう)。このメカニズムは、すべてのプロバイダにわたって一意の顧客識別子を確立することによって実現されることが可能である、各プロバイダは、その識別情報プロバイダによって保持されている関連する情報を含む構成要素識別情報アサーション(component identity assertion)または識別情報証明書を生成する。SPでの完全なアサーション、またはCIMで識別情報証明書として使用するための情報の完全なセットを提供するために、例えば顧客識別子に従って、これらの構成要素識別情報アサーションまたは識別情報証明書が集約され得る。
【0111】
同様に、SPによって報告された情報は、複数の異なる位置に格納されてよい。個別の報告値が一緒にリンクされることを可能にする何らかの識別子によってこの情報が識別されるということを条件として、この情報は、必要な報告された情報の完全な姿を取得するために、SPおよび他の関心のある関係者によって取得されて結合され得る。
【0112】
さらに、部分的な識別情報アサーション/証明書の集約を容易にするシステムの能力は、サービスプロバイダが、どの情報について、どの程度まで特定のIPに依存するかに関して選択的であることを可能にする。例えば、SPは、顧客の年齢に関して第1のIPに依存することがあるが、(例えば、ポリシーが、2つの異なるソースによってこの情報が主張されることを要求するため、ポリシーが、例えばリスク許容度に基づいて第1のIPにこのアサーションを作成する資格がないということを定義しているため、などのために)投資家ステータスの検証を必要とする。したがって、SPは、第1のIPによって主張される情報を拡張するために、第2のIPに対して情報を要求する。この情報は、第1のIPによって主張される情報と同じ情報、および/あるいは例えば、第1のIPが必要なアサーションを作成できなかったため、SPが第1のIPに対してその情報を要求しなかったため、または任意の他の適切な理由のために、第1のIPによって主張されない追加情報を含んでよい。したがって、アサーションの集約を可能にするシステムの能力は、SPが、顧客の識別情報を検証するときに、拡張された適正評価を実施することを容易にする。
【0113】
証明書の取り消しおよび新しさ
ときどき、発行された識別情報証明書または識別情報アサーションは、無効になることがあり、または識別情報プロバイダによって使用可能な新しい情報に置き換えられた情報を含むことがある。この事例を処理するために、各識別情報証明書および識別情報アサーションは、アサーション/証明書の識別情報、アサーション/証明書の有効期限、アサーション/証明書に関する更新された情報を取得するために使用する命令(URLなど)、および各証明書が更新されるべき頻度に関する推奨という、4つのフィールドのいずれかを含んでよい。
ときどき、発行された識別情報証明書または識別情報アサーションは、無効になることがあり、または識別情報プロバイダによって使用可能な新しい情報に置き換えられた情報を含むことがある。この事例を処理するために、各識別情報証明書および識別情報アサーションは、アサーション/証明書の識別情報、アサーション/証明書の有効期限、アサーション/証明書に関する更新された情報を取得するために使用する命令(URLなど)、および各証明書が更新されるべき頻度に関する推奨という、4つのフィールドのいずれかを含んでよい。
【0114】
集中型の設定では、IPからアサーションを受信するSPは、任意選択的に、アサーションの一部としてこれらのフィールドを受信してよい。SPは、有効期限を現在時刻と比較するメカニズムによって、この情報を使用して、アサーションが有効期限に達したかどうかを判定することができる。同様に、分散型の設定では、CIMは、識別情報証明書が、期限が切れて更新されなければならないかどうかを判定するために、有効期限を現在時刻と比較してよい。さらに、分散型の設定では、CIMは、SPに、SPによって本物として検証されることができた形態で、(1)識別情報証明書の有効期限、または(2)識別情報証明書の有効期限の要約のいずれかを送信してよい。そのような要約の例は、識別情報証明書の期限がいつ切れるかをおおよそ示すサマリー、または単に、現在時刻の時点で識別情報証明書の期限がまだ切れていないということを示す指標を含んでよいが、これらに限定されない。そのような要約は、CIMによってSPに対して作成されたアサーションが証明書の正確な有効期限を漏らさないということを保証するために必要とされることがあり、これは、この情報が隠蔽されるべきである場合に、この情報が、SPがCIMによる異なる識別情報アサーションを同じ識別情報証明書にリンクすることを可能にする情報をSPに公開することがあるためである。
【0115】
IPは、有効期限の前に、識別情報アサーションまたは識別情報証明書内の情報を取り消すこと、および/または更新することを実行するように構成されてよい。この取り消しおよび/または更新は、例えば、顧客のステータスを変更する新しい情報(例えば、盗まれた識別情報証明書または不正な意図の証拠)がIPに到着するときに発生することがある。この事例に対処するために、IPは、「取り消し」メッセージを1つまたは複数のSPに公開するように構成されてよく、「取り消し」メッセージは、SPが、1つまたは複数の顧客識別情報が更新されなければならないということを決定できるようにする。このメッセージは、アサーションまたは識別情報証明書の識別子を含んでよい。
【0116】
SPによって受信された識別情報アサーションに関連付けられた識別子は、前のセクションで説明されたように、顧客に関して一意であるが、すべてのSPにわたって共有されてよく、または単一の顧客を識別するためにSP/IPの組み合わせごとに使用される異なる識別子であってよい。
【0117】
Webサイトを保護するために使用されるプロトコルなどの、標準的なPKI証明書の取り消しのための複数のプロトコルが存在する。これらのプロトコルは、所与の証明書が取り消されたことを伝えるために使用される、証明書取り消しリスト(CRL:Certificate Revocation Lists)およびオンライン証明書ステータスプロトコル(OCSP:Online Certificate Status Protocol)を含む。これらのプロトコルは、若干の変更を加えて、前述の識別情報証明書およびアサーションに適用されることが可能であり、または類似する目的を有する特定のプロトコルが代わりに使用されてよい。証明書取り消しリストを使用するために、識別情報プロバイダは、すべての取り消された識別情報証明書および/またはアサーションの識別子を含んでいるリストを公開する。OCSPの例では、各サービスプロバイダは、識別情報プロバイダに定期的に連絡し、所与の証明書/アサーションの識別子が取り消されたかどうかを要求する。この手法の最後の変形は、「OCSPステープリング」のプロセスに関連しており、このプロセスでは、CIMなどのクライアントがIPに連絡し、識別情報証明書がまだ有効であり、取り消されていないことを示す、デジタル的に署名されたファイルを取得することができる。このファイルは、このファイルが有効と見なされるべき期間(例えば、このファイルが要求されたときから最大で3日まで)を示す「有効性の期間」を含む。次に、CIMは、このファイルを、SPに対して作成された識別情報アサーションに添付するか、または「ステープルする」ことができる。代替として、CIMは、識別情報証明書に関して説明された技術を使用して、このファイルの内容を要約することができる。これによって、SPがIPと直接通信する必要性をなくし、証明書がまだ有効であることをチェックすることにおける、ある程度のリソースコストをSPから取り除く。
【0118】
完全な取り消しに対する代替案として、IPは、識別情報アサーションまたは識別情報証明書の内容を単に更新することを望んでよい。このためのメカニズムは取り消しに類似しているが、IPが、証明書/アサーションが取り消されておらず、むしろ、関係者が更新された証明書をIPから取得するべきであるということを、IPが公開するメッセージ(例えば、CRLまたはOCSPメッセージ)の一部として示すべきであるという点が異なる。集中型の設定では、次に、SPが、前のセクションで説明されたように、IPに連絡し、新しい/更新されたアサーションを取得する。分散型の設定では、CIMがIPに連絡して更新された識別情報証明書を取得し、SPは、新しいアサーションをCIMから取得することが必要になることがある。
【0119】
本発明が関連する当業者は、本明細書において開示されている主題の範囲から逸脱することなく、必要な変更を加えて、多数の変更、変形、および修正が行われ得るということを容易に理解するであろう。
【図1】
【図2】
【図3】
【国際調査報告】